Author: Maverisk

Further to yesterday’s post, here’s some sidelines on ‘control’s.

Where typical ‘ORM’ would take risks one by one, and treat them all in the same fashion. Take one risk, see what you can do qua preventative controls, and then .. a long time of bickering and arguing until some arm twisting leads to hap-hazard (sic) implementation of something that could in some weird way be explained to be the intended control so it only just can’t be denied to be, gets implemented till the auditors go away. Onto the next risk. In rare circumstances, already ‘implemented’ controls are also taken into the analysis (sheer quod non) and very maybe some form of interlocking effectiveness is considered. No more than the latter. Costs … no, it’s all about cost avoidance, the cost of unnecessary write-offs and hey what’s the cost of just sticking to some uniformised procedures right? The cost of potentially missed business because the business processes will be so straight-jacketed that clients go away is too hard to establish hence don’t bother.
The result: a gigantic heap of ‘control’s of which the effectiveness … isn’t.

Where typical ‘ORM’ would also take a portfolio approach of actual losses due to mishaps as in the books. Without regard for the secondary causes of controls not being effective (except the most glaring breaches of agreed (not!) upon procedures) and having incurred costs (hinder, sometimes severe, to execution; missed customers) that don’t match with any savings in avoided wrongs, and having no regard for near misses (where, oh joy, write-offs are indeed avoided). Where sheer luck or ignorance towards the unknown misses is in no way excluded, or rather, taken as a sign of being ‘in control’. Procedure macht frei.

Trying to fix this by doing an organisation-wide analysis and establishing the sum total mesh of ‘control’s, may only work in the smallest of situations where eyeballs Mark I work better. Other situations … hopelessly beyond the level of complexity that any humans can handle; technical shortcoming of brains – the presence of good examples of which already is an untenable assumption when looking at the manager class of your organisation.
Result: Yet again, 3LoD is a systemic failure. And heat maps, the same.

Solution: Radical ‘first-line’ risk management. I.e., doing management by its definition of decision making under uncertainty – which is so opposite to all the above circuses that assume total control can be had, with the ideal even of zero remainder risks… If you believe that, why not do the data collection with the fairies? But there is a future in risk management: Inclusion of uncertainty in how plans will play out, when drafting them and taking decisions about them…

To Be Continued. And there’s also:

[(Parador de) Cardona, nicely defended against – nothing anymore]

On the one hand there’s the discussions regarding the oh so much needed renewal of ‘risk management’. Trying to drop the ‘heat map’ nonsense and the 3LoD sameness.
On the other, there’s infosec trying to first get rid of all the ‘cyber’ bs (#ditchcyber) and second trying to achieve something against all grains.
On the third hand [like, here], apart from the need to integrate there’s …

A thought about probability. Classical rm talks about risks as a chance of something happening that may impact some objectives
– Of the business kind or not;
– Of the business as a whole or your local ones;
– Either positively xor (only) negatively.

But never ever is there any thought given to the formulation of the chance in time.
When there’s a 10% chance of something going wrong, do you mean tomorrow, next year, or next couple of nanosecondes or what?
Is the chance distributed uniformly over time? How do you take into account probability changes when ‘it’ happens to you tomorrow, or to a competitor, or technology changes, or your (infosec) budget changes [allowing for better mitigation or not – or is that uncorrelated with how you spend ..? think that one through]?

Does your analysis take into account that some mishaps will happen to you as well (or the chance wouldn’t be above absolute zero!) at some point in time; meaning that a. there’s certainty it will happen, b. there’s a chance it will be you that’s hit this time, c. your only real uncertainty is when. Note that b. does include an uncertainty when you don’t define ‘time’ as an interval. Oh and there’s a d. too, being that once you’re hit, it may or may not happen again within that time interval, partially depending on whether you fixed the vulnerability right or not. [Will go study the Weibull distribution now (k>1 and λ=1), and maybe sigmoid distributions.]

And how severe the impact will be, is also quite a grey area of course. Over n dimensions, not just one € amount onto which the dimensions may be projected but then, projection is loss of an enormous kind when it comes to declarative insights let alone normative sames.

Case in point:
The dikes in NL will be breached by a flood, of a one-in-a-ten-thousand-years magnitude. Which may be tomorrow. And next week. Or only after 9.017 years, 2 months and 23 days. Or only after 19.237 years.
But the dikes are still maintained quite well.
Now discuss how global warming may impact these estimates. And how these estimates came about. ‘one-in-a-ten-thousand-years’ …!?

Next up: a discussion on how ‘Operational Risk Management’ misses the mark (among a great many) by not differentiating between actual losses, near misses, and preventative versus detective/corrective controls in a balance with the costs associated with all these.

But first:

[Water conserved, so near the water; Baltimore]

Hey, just when I tinkered with the idea of updating an old post on open source quality, some solution came ’round the corner [Duts link].

Your thoughts. I’m off celebrating my b’day. Cheers,

[Not there, unfortunately. Farolim das Felgueiras.]

Or, stop the “kill chain” nonsense.

Whether it’s the Lockheed original, or the great (in numbers…) many variants since, they are all quite flawed. Let’s say, 99% flawed.
Since a. it’s not a chain – it’s a mesh, haphazrd(sic)ly followed through the organisation, and b. it has nothing to do with ‘kill’ – only the most idiotic n00b would pursue that.

Qua b.,
first there is this, later expanded here;
and second there is all the evidence from practice. What stupid would ‘kill’ if future rewards could be had at zero cost once a breach-and-backdoor has been made available and (as almost always is the case – APTs, anyone? – yes they still are out there, undetected yet!) available for future use i.e. value extraction not ‘kill’ ..?

Oh yes third there is nation-state-cum-coaxed-Bad-groups ‘cyber”warfare’ (#ditchcyber) but that’s outside of the scope of just about anyone, since even there, one’s weapons are probably deployed already in ‘the field’ (re APT, again) or not at all to prevent detection. In which latter case there is no such thing as a chain employed, it’s just future-impact. As if one talks about the ‘kill chain’ of a Daisy Cutter being its doings after it touches the ground.
And no, if you think you’d have to worry about nation-states trying to brick your infra, a. they will no matter how strong your defenses, b. they do already (re APT, again), c. what did you have the idea to do about it? Even the pro’s may not save you… [uhm, this goes in a lot of places/nations ..!]

Oh well, blue pills everywhere.
[Edited to add: this.]
And this:

[Once useful for beautiful Ávila]

Or should be … About this, being that the Dutch army has been uncapable, in this case of recruiting sufficient staff for its ‘cyber’ force. #ditchcyber, I’d say.
And, the House questions… a diversion. Who expects serious answers that address the root causes ..? Now there’s one for ‘no-one’.

So, root – or any intermediate – causes not being addressed even in the discussions, who expects the problem to not get worse, much worse, before failure can be placed on … others? There’s a second one.
Is there anyone out there that would be able to list, off the cuff, a set of (root/-) causes?
Like,

• Budget. Probably, the ‘experts’ sollicited will encounter ‘serious’ premiums over common rank income brackets, to be as high as… maybe even 20%! W00t! That amounts to still a full 30% of commercial income easily attainable. Certainly for the expertise and experience levels sought. Is there anyone who seriously believes that at such, relative, kindergarten rates any other one would want to work …:
• Military command structures and career paths one would have to work within. Meh.
• Means. One will work at the bleeding edge of development of allsorts. Does one get this, or the real thing ..? [Hey that’s our wedding song but that’s something else.] The latter being what one wants … but then would not be allowed b/c it doesn’t go well with the official standards and ordnung muss sein so the toys you need, you will not get. You will get … yesteryears’ / yesterdecades’ stuff. Thinks ’30s Dutch army / air force quality. Or Polish cavalry taking on Tigers with lancers on horseback. All’s fair in war, heroism wins not the day or glory just defeat. Certainly the next one, that will be as remote from mano al mano as one can get.

Case in point: The already-should’ve-been-mundane art of drone airforcing. Does the publick know whether the Dutch Airforce has such a thing, at what size and capabilities, or where and how they’re stationed [some data may vary, after that post of so long ago, but not the essence]? Most probably, the above will trail a decade or more. When the current RNLAF is still exceeding expectations whenever and wherever deployed (also due to these), this may not be the case next time around…

But hey, there’s still:

[Duts Nayvee in Baltimore harbour or is it]

Oh darn, I’ll be off updating those awfully many handfuls of hot tubs of mine … Since this.
Even when still waiting for delivery of some of these.

By way of wishing you a Happy New Year…

[Yes it’s a sun dial, too ..! Barça]

For all, Season’s Greetings by way of the following. Since it would be less than optimal if you’d end up with Rudoplh the Red-Nosed Moose before your sleigh tonight just by sloppy translations.

Also as an intermission: Would you know which is which, of the below …?
And then, there’s continental differences …
First up, the Elk:

Servus Canadensis, the wapiti indeed. Next up, the Elk:

know as such in Eurasia including those tinny pebbles off the coast called the British Isles. Looks suspiciously like the Alces Alces that is the Canadian (oh well, and US, yes, you may join) Moose, doesn’t it?
Because it is…! But you moose’ent confuse the two with each other nor with the reindeer a.k.a. caribou:

Rangifer Tarandus, since this one’s for Saami and Santa.

Are you feeling elky now ..? Or move to the Caribouan; you’ll never have problems with the above there … Oh deer we’re in seriousness-trouble here…

Er zit beweging in de wijnsmaken.
Waar we voorheen nog “alleen” de bekende aromawielen hoefden te begrijpen – en naar eigen bevind van zaken hoefden te interpreteren… – is er sinds kort de benadering waarbij dat idee, zeker qua onderscheid tussen (voornamelijk) neus en smaak wordt verlaten, en vooral wordt geproefd naar Verhouding: zoet, zuur, zout, bitter, umami; Mondgevoel: strak/stroef, vol/filmend; Smaakintensiteit: (hoog-laag); Smaakcomplexiteit: (breed-smal) en Smaaktype/karakter (elegant, verfijnd -stevig, robuust).

Voorbijgaand aan het idee dat een wijn bijvoorbeeld een element van blauwe bes in de smaak heeft. Onder het motto: “Het is wijn, van druiven, dus niet van blauwe bes dus de smaak van blauwe bes kan er niet inzitten”. Dit motto is door chemische analyse naar het rijk der fabelen verwezen – wetenschappelijk is aangetoond dat het stofje dat in blauwe bes zit en de typische blauwe-bessmaak geeft, daadwerkelijk ook aanwezig is in wijn die naar blauwe bes smaakt. Voor andere smaaktyperingen zal hetzelfde gelden.
Exit exit aromawielen.
Entrat … natuurlijk zit er enige waarde in een andere benadering; alleen maar smaken is wat kaal. Maar:

• Wie heeft ooit verzonnen dat ‘umami’ een *basis*smaak zou zijn ..? Check gewoon even deze, en zie dat het er met de haren ingesleept moet worden en dan alsnog niet past: Er staan vier basissmaken en een indruk – niet voor niets!! Omdat het woord in de oorspronkelijke taal zoiets betekent als ‘van alles veel’ … van alle basissmaken ja.
• Zie aldaar (link) dus ook andere indrukken: En daar wilde ik het met u over hebben. Heet, menthol, … waarom niet ook alcoholscherpte, tanninescherpte, etc., en ook kruidigheid, notigheid, etc. ..?
• Of gaat dat weer over de scheef en zien we die gewoon terug in het aromawiel…:
  
  [Copyright Wijninstituut; hopelijk is dit privégebruik toegestaan…]Oh ja … daar staan ze al, de kruiden en noten.
  Wel, wat ik daar eigenlijk wilde opmerken: We hebben dan de smaken uit het wiel waarbij we intensiteitskarakteristieken kunnen aangeven en daarnaast nog vier à vijf indrukken of sensaties. Oh, voorafgegaan door een beoordeling van kleur/helderheid/zuiverheid (kijken), en dan dus de smaken zowel qua neus als smaak, de laatste apart gescoord naar primair, secundair en tertiair.[ En daar kunnen we natuurlijk ook aan toevoegen dat goede proevers wél de grondsoort etc. (ook terroir in het algemeen) beter-dan-random weten te duiden. Als er, zoals sommige onderzoeken suggereren, geen enkel spoor van de grond in de wijn proefbaar zou zijn, dan nog … hoe komen de proevers dan op beter dan random uit? Ja, bij graniet in de grond groeien de planten nu eenmaal anders dan op rivierzand. En zal de wijnmaker anders optreden. Etc. Etc. ]

  Nou ja, voor de goede orde; voor kleur gebruiken we deze:
  
  [Ook © … hm.]

  Of … gaan we echt helemaal anders te werk en nemen we deze? I think not …

  uiterlijk (oog) score:

  oppervlak:briljant olieachtig, helder, mat, veelkleurig, anders:

  helderheid: kristalhelder, briljant, helder, iets troebel, erg troebel, anders:

  koolzuurgas: grote bellen, kleine belletjes, geen belletjes, anders:

  geur (neus) score:

  eerste indruk: aangenaam, middelmatig, plezierig, onaangenaam, anders:

  intensiteit: sterk, voldoende, zwak, zeer zwak, anders:

  kwaliteit: heel mooi, voornaam, eerlijk, gewoon, hard, anders:

  karakter: bloemig, kruidig, fruitig, dierlijk, madeira, anders:

  lengte: lang, matig, kort, zeer kort, anders:

  afwijking: koolzuurgas, zwavel, verschaald, azijn, hout, anders:

  smaak (mond) score:

  eerste indruk: aangenaam, goed, gewoon, slecht, matig, anders:

  zoetheid: zoet, likeurachtig, droog, zeer droog, fluweel, anders:

  zuurgraad: iets zuur, fris, soepel, levendig, flets, anders:

  body: vol, overvloedig, rijk, weinig, koppig, warm, anders:

  intensiteit: sterk, matig, zwak, kort, lang, zeer intens, anders:

  kwaliteit: zeer goed, elegant, prettig, gewoon, matig, anders:

  karakter:

  strak (wrang, koffie, chocolade, citroen etc..)

  filmend (fruit, honing, room, boter etc..)

  uiterlijk kleur (oog) score:

  kleur witte wijn: groen tint, lichtgeel, kanariegeel, goudgeel, strogeel, anders:

  kleur rosé: helderroze, dieproze, paars, vaal roze, bleek, anders:

  kleur rode wijn: helder rood, kersrood, robijnrood, granaatrood, purper, anders:

  totaal indruk score:

  evenwicht: harmonie, ruim voldoende, voldoende, niet goed, anders:

  afdronk: eerlijk, stabiel, niet prettig, gezond, krachtig, anders:

  duur afdronk: zeer lang, lang, matig, kort, anders:

  fouten: wrang, azijn, metaal, muis, ranzig, bitter, anders:

  totaal score:

  Enne, even een intermezzo-uitsmijter uit wiki; zoek de vele vergissingen:

  Het 1- en 3-sterren systeem wordt vooral toegepast in het lage- en midden marktsegment. De 5-sterren-, 20- en 100-puntensystemen vooral bij grotere proeverijen in meestal het hogere marktsegment.

  1-stersysteem

  Eén ster of geen ster wordt gebruikt als systeem in een vooraf bepaalde prijsklasse. De wijn krijgt een ster wanneer zij goed gemaakt is. Dit vaak na de toetsing van één of enkele beoordelaars, handelaren of schrijvers zoals in de tegenwoordig populaire wijnalmanakken en gidsen.

  3-sterrensysteem

  De criteria kunnen per proeverij of vakhandel anders uitgelegd worden. Ruwweg komt het erop neer,
  1 ster – een goede wijn voor de prijs waarvoor het wordt aangeboden
  2 sterren – een goede wijn met een zeer goede prijs/kwaliteit verhouding
  3 sterren – een bijzonder goed gemaakte wijn voor relatief weinig geld

  5-sterrensysteem

  Het beoordelen met een 5-sterrensysteem is gebaseerd op de drie criteria van geur, smaak en harmonie. Soms worden er in plaats van sterren ook wel wijnglaasjes weergegeven.
  1 ster – bevat veel fouten
  2 sterren – voldoende
  3 sterren – goed
  4 sterren – zeer goed
  5 sterren – excellent

  20-puntensystemen

  Frans

  Het Franse 20-puntensysteem wordt nog veel gebruikt in Europa. De evaluatie is gebaseerd op de volgende criteria:
  Kleur: fouten, niet mooi – 0 punten / in orde – 1 punt / briljant – 2 punten
  Helderheid en zuiverheid: stoffig, mat, dof – 0 punten / helder, zuiver – 1 punt / kristal-helder, briljant – 2 punten.
  Geur (parfum, bloemen boeket): geen waarneembare geur, slecht en bedorven – 0 punten / zwak, diffuus – 1 punt / aantrekkelijk, schoon, zuivere tonen- 2 punten / zeer goed, evenwichtig, geurig, fijn – 3 punten / karakteristiek , uiterst fijne en sterk – 4 punten.
  Smaak (body, extract, zoetheid, zuren, tannine): bedorven, slecht – 0 punten / geen wijnsmaak afwijkend – 1 punt / leeg, dun, weinig expressie – 2 punten / sterk – 3 punten / zuivere tonen, expressief – 4-5 punten / full-bodied, aromatisch, rijk, vol karakter – 6 punten / stijl, uitstekend, perfect – 7 punten.
  Algemene indruk (harmonie, finesse, afwerking): slecht, conflictueus – 0 punten / korte afdronk, weinig harmonieus – 1 punt / goede algemene indruk – 2-3 punten / middellange tot lange afdronk evenwichtig, typisch, delicaat – 4 punten / lange afdronk, fijn, zeer harmonieus, grote wijn – 5 punten.
  De basiswaarde van de wijnbeoordeling is 0 punten en daarmee het laagst mogelijke. De afzonderlijke punten van kleur, helderheid, geur, smaak en algemene indruk worden bij elkaar opgeteld en genoteerd als eindcijfer. Op officiële proeverijen worden de details van de afzonderlijke criteria echter zelden openbaar gemaakt.

  COS

  Hetzelfde geldt voor het 20-puntensysteem dat bekendstaat onder de naam COS. COS is afgeleid van de Latijnse woorden, Color (kleur, helderheid), Odor (geur) en de Sapor (smaak). De criteria zijn als volgt gedefinieerd:
  Color – uiterlijk, kleur, helderheid, met een maximum van 2 punten,
  Odor – geur met een maximum van 6 punten
  Sapor – smaak, met een maximum van 8 punten
  Daarnaast krijgt het voor de algemene indruk maximaal 4 punten.

  In het COS-systeem wegen de criteria geur en smaak dus sterker dan het eerder genoemde Franse 20-puntensysteem.
  Voor beide 20-puntensystemen geldt dat een wijn met een score van 10 punten of minder wordt beschouwd als niet in orde. Tussen 10 en 12 punten, niet bevredigend. Van 12 tot 14 punten wordt zij als goed beschouwd en tussen 14 en 16 punten als zeer goed. Vanaf 16 punten spreekt men van echt mooie wijnen en vanaf 18 punten van topkwaliteit.

  100-puntensysteem

  Verkopers van wijn gebruiken de toegekende punten voor een wijn graag als verkoopargument.
  Het inmiddels wereldbekende 100-puntensysteem is tegenwoordig vrij algemeen in gebruik. Het wordt ook wel het Amerikaans puntensysteem genoemd. De populariteit van deze schaal kan komen vanwege de vergelijking met andere 100-puntensystemen of toepassing van percentages zoals bij veel (internationale) scholen, opleidingen en beoordelingen.
  Hoewel, de basiswaarde die een wijn in dit puntensysteem krijgt is minimaal 50. Onder deze 50 punten namelijk is een wijn niet de moeite waard om te worden beoordeeld. Bij die 50 punten komen er maximaal 5 punten bij voor het uiterlijk, 15 voor de geur, 20 voor de smaak en 10 voor de algemene indruk. Wijn met een totaal score van 50-75 punten wordt aangemerkt als zwak, 75-79 als gemiddeld, 80-84 goed, 85-89 als zeer goed en van 90-95 buitengewoon goed. Van 95-100 wordt een wijn als opmerkelijk groots beschouwd.

  Kritiek

  Wijn beoordelen door middel van getallen roept kritiek op. In grote lijnen kan er wel een selectie gemaakt worden, maar een uitgebreide omschrijving ontbreekt. De toegekende punten doen zich vaak voor als absolute uitspraak van kwaliteit. Het is nu eenmaal erg lastig te omschrijven hoe een wijn smaakt, en zal door een ieder anders worden ervaren. Ook al maakt men gebruik van de voor proefnotities gebruikte vakjargon, het vertelt alleen iets over de eigenschappen van een wijn en niet hoe de wijn exact gaat smaken. Hierom kan dit leiden tot verkeerde interpretaties. Bij mensen die niet professioneel hiermee te maken hebben ontstaan vaak problemen met het begrijpen van wijnbeschrijvingen zoals die worden gebruikt in de professionele journalistiek, of bij proeverijen. Met name de symbolische concretisering van de wijnterminologie kan een bron van irritatie zijn.

  Dat gezegd hebbende, verdient u uiteraard een plaatje:
  
  [Uitstekende wijnen, van deze “B&B”; Castello di Gabbiano]

Although it’s well-known to many that the infosec behaviour as required by organisations of their employees, doesn’t conform with what the employees [that according to the theory of firm, are the organisation not ‘processes/procedures/”GRC”‘ ridiculousness nor capital] would want, as all strive to reach their individual ill-aligned, together inconsistent and incomplete objectives.
Since infosec in this, borders on the (sum of the) individual ‘contributions’ in this (too) and the emergent property achieved infosec for the organisation. And since no-one has ever been able to bridge the gap in a methodological sense between set member characteristics and emergent properties … We can aggregate but will not reach the emergent by definition (or the emergent would be seeded in the elements already; no need for emergence); we can disaggregate but will never implant any meaningful noise in the properties as it is exactly that which was lost during the ‘initial’ aggregation / collection into set characteristics. Meaningful noise being the original elements’ noise on any concept. Politically, one would reference Ortega y Gasset here; great holday season’s reading .

Aren’t we lucky then, that we will not hinder those already doing it… The above is methodoligically unsteady and unrigorous. Practice will allow us to reach infosec nirvana – which is far off total security: cost, effectiveness and flexibility being the limiting factors – if only we’d try, we could align what we want from ‘users’ to fit along their personal objectives and motivations, and moods, so well that ‘users’ will unnoticedly do the right thing. Link may not apply.

Plus, :

[Talk about right things … the battlefield from Little Round Tops, Gettysburg]

How innovation often is about shedding some and gaining some.
In a Pareto efficient frontier location switch way. It’s a hunch; I’m not going to put it through a rigorous motion of formulas or so – and, as always, the harder the data looks, in economics-the-ugly-duckling-sibling of sociology the more implicit ssumptions are used behind the scenes that outside the model don’t hold an inch and ruin the practical value (by any definition) of your ‘model’.

But it should be interesting to push te idea a little further out: Schumpeter’s destruction here a little, improvements elsewhere, suboptima in some bounded mean time, and the sum total being better for all in the end. Or not… It seems that pursuing creative destruction, be it innovation beyond near-continuous but tiny improvement or be it ‘disruption’ [ugch I’ll go wash my mouth now], has often failed to deliver – probably because it failed to see the mean time and didn’t include ‘in the end’. Both being states of loss, almost certainly and possibly respectively vaguely stated.
Only if innovation were focused on analysing properly what the Ist and the Soll are, can we estimate the infinite number of curves that will take us there, whether among those infinite we can actually design to choose and whether the Soll is better on scales of value and judgement that we care about. ‘We’ being humanity; if you think you can have a divide between us and them, you’re dismissively incompetent and/or haven’t read Harari’s 21 Lessons. Only then will you find that the Soll might be designed, but engineered society is a mirage [just like MIS by the way.]

But without the notion of Pareto, no-one will know where to look, where to go, what the road to there is about.

[Edited to add: And with the above, one may figure out what touchy points one may encounter during change programs – on what dimensions will some parties have to retreat, forcidly, from the optimum once had, before one might move to some other place where that dimension may be maximised beyond the previous? Will parties be able to improve on all their dimensions of interest, or will there be a balance (lose on some, win on some dimensions), or worse (lose on all), and is that all worth it when some other parties may win only, and who will call the shots overall ..?]

Does this post end anywhere fruitful or at least positive? Of course it does:

[Opera! Opera! Valencia!]